43 Prozent der deutschen Unternehmen wurden in den vergangenen zwölf Monaten Opfer einer DDoS-Attacke - so das Ergebnis einer internationalen Studie von BT. Darunter versteht man einen - in der Regel absichtlichen - Angriff auf Server oder auf Netzkomponenten, der von vielen verteilten Rechnern ausgeht und die Überlastung der Infrastruktur seines Opfers zum Ziel hat.
Hinzu kommt, dass solche Angriffe immer länger dauern und auch an Stärke zunehmen. Herkömmliche Abwehrlösungen wie Firewalls und Intrusion-Prevention-Systeme (IPS) reichen da meist nicht aus. Der Schaden für die betroffenen Unternehmen ist immens - im Schnitt sind ihre Systeme mehr als einen ganzen Arbeitstag lang "down". So haben Reklamationen und Rückfragen von Kunden und Lieferanten in den letzten zwölf Monaten um durchschnittlich 36 Prozent zugenommen, wie die Umfrage ergab.
- Mehr Sicherheit im Browser
Tools wie AdBlock können auch vor Viren schützen. - Regelmäßig Windows-Updates installieren, auch für andere Microsoft-Programme
Installieren Sie regelmäßig Updates für Windows, auch für andere MS-Programme, wie Microsoft-Office. - Virenscanner von Drittherstellern installieren und automatisiert aktualisieren
Der kostenlose AVG-Virenscanner kann PCs zuverlässig schützen. - Kostenlose Viren-Scanner bieten bereits einen guten Grundschutz
Auch bei kostenlosen Virenscannern können Sie umfassende Sicherheits- und Aktualisierungseinstellungen vornehmen. - Lassen Sie Rechner regelmäßig mit Kaspersky-Rettungs-CD scannen
Mit Kaspersky können Sie PCs zuverlässig nach Viren scannen. - AdwCleaner installieren und verwenden
AdwCleaner hält Rechner sauber, aber nur wenn Sie den Scanvorgang manuell starten. - Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden
Das Microsoft Windows-Tool zum Entfernen bösartiger Software kann gefährliche Angreifer finden und entfernen. - Spybot Antispyware herunterladen und System immunisieren
Spybot Antspyware kann Windows-PCs vor Spyware-Angreifern schützen. - Autostart-Programme im Blick behalten
Mit Autoruns finden und entfernen Sie Angreifer von Windows-Rechnern.
Wer DDoS-Angriffe abwehren möchte, sollte folgende Punkte beachten:
Schutzbedarf analysieren
Bevor Sie sich für eine Lösung zum Schutz vor DDoS-Angriffen entscheiden, sollten Sie den Schutzbedarf Ihres Unternehmens analysieren. Entscheidend ist dabei, welche übers Internet erreichbaren Systeme Ihr Unternehmen einsetzt, wie kritisch die dazugehörigen Geschäftsprozesse sind und welche Auswirkungen ihr Ausfall hätte. Ein durch eine DDoS-Attacke verursachter System- oder Netzausfall dauert durchschnittlich zwölf Stunden. Was konkret bedeutet das fürs Geschäft - etwa wenn die Website einen Tag lang nicht erreichbar ist? Welche Kosten würden Ihrem Unternehmen dadurch entstehen?
Art des Angriffs berücksichtigen
Auch die unterschiedlichen Arten von DDoS-Attacken spielen bei der Schutzbedarfsanalyse eine Rolle. Neben großen, volumetrischen Angriffen, bei denen der Angreifer die Leitung so lange bombardiert, bis sie voll ist, kommen so genannte Multi-Vector-Taktiken immer häufiger vor, bei denen verschiedene Unternehmensplattformen gleichzeitig mit Anfragen bombardiert werden.
Foto: BT
Beide Angriffsarten setzen voraus, dass das System des Angreifers über mehr Bandbreite verfügt als das des Opfers. Oft handelt es sich dabei um Ablenkungsmanöver: Während die IT-Abteilung versucht, dem so sogenannten Flooding der Internet-Verbindung Herr zu werden, verschafft sich der Angreifer beispielsweise über eine andere Schwachstelle im Netzwerk Zugriff auf Firmendaten.
Aber auch Angriffe mit niedrigen Bandbreiten können Schaden anrichten. Ein Beispiel sind Connection-Angriffe, bei denen der Angreifer den ständigen Aufbau von TCP-Verbindungen an das Zielsystem simuliert. Zunehmend kommen auch Angriffe auf Applikationsebene vor, beispielsweise indem der Angreifer permanent versucht, sich mit falschen Login-Daten anzumelden. Da das Backend ununterbrochen damit beschäftigt ist, die Login-Informationen zu überprüfen, bricht die Anwendung irgendwann zusammen. Angriffe auf Applikationsebene erfordern weniger Bandbreite. Dadurch können sie langsamer durchgeführt werden und sind wesentlich schwerer zu erkennen.
Absicherung evaluieren
Um sich gegen DDoS-Angriffe abzusichern, benötigen Sie einen Schutz im Internet-Zugang, der den Angriffs-Traffic filtert und nur "saubere" Daten weiterleitet. Je nach Schutzbedarf empfehlen sich hier die Varianten "On-Premise" oder "in the Cloud". Wenn Sie ganz sicher gehen wollen, investieren Sie in eine Lösung, die beide Varianten kombiniert.
On-Premise: Hier wird eine Appliance im Internet-Zugang installiert - entweder direkt in Ihrem Unternehmen oder im Backbone Ihres Providers. Diese Appliance filtert einen Großteil des Traffic heraus - ähnlich wie ein spezialisierter Virenscanner. Der Vorteil: Der Schutz greift sofort und erfordert keine Änderungen am Netzwerk. Allerdings eignet sich die On-Premise-Variante nicht für große volumetrische Angriffe. Hier ist der Upstream-Provider schnell so ausgelastet, dass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.
In the Cloud: Mit dieser Variante lassen sich Angriffe möglichst nah an ihrem Ausgangspunkt abfangen und so ein Großteil der Angriffe ausfiltern. Je nachdem wie umfassend der Schutz sein soll, ist die Cloud-Variante in zwei Optionen erhältlich: Zum Schutz von einzelnen Servern wird der DNS-Eintrag des Unternehmens im "Scrubbing Center" des Providers in eine virtuelle Adresse umgewandelt (Proxy Service). Eingehender Traffic wird geprüft und nur wenn er "sauber" ist, an das Unternehmen weitergeleitet. Um ein Netz komplett abzusichern, wird der Datenverkehr über das Routing-Protokoll BGP (Border Gateway Protocol) an das Scrubbing Center übertragen; der saubere Traffic wird über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen weitergeleitet. Mit Cloud-Lösungen lassen sich auch große Angriffe wirksam abfangen. Sie werden meist als On-Demand-Lösungen angeboten: Sobald der Verdacht einer DDoS-Attacke besteht, veranlasst das Unternehmen eine entsprechende Umleitung seiner Daten. Der Nachteil: Es sind manuelle Eingriffe in die Netzwerkkonfiguration erforderlich. Dadurch greift der Schutz erst mit einigen Minuten Verzögerung. Es gibt aber auch Always-on-Lösungen, bei denen die Daten permanent durch das Scrubbing Center geleitet werden.
Zur zusätzlichen Absicherung dienen spezialisierte Monitoring-Lösungen, die den Netzwerkverkehr auf typische Muster von DDoS-Attacken untersuchen.